一、 Windows 系统配置     

　　1．将所有磁盘分区为NTFS分区                                                             

　　   只安装TCP/IP协议             

　　   安装Service Pack 4                                        

　　   安装最新的hotfix（到2004年8月30日为止共有25个补丁）                            

　　2． 关闭所有不需要的服务                                                    

　　* Alerter (disable)                                       

　　* ClipBook Server (disable)                        

　　* Computer Browser (disable)                      

　　* DHCP Client (disable)                                

　　* License Logging Service (disable)        

　　* Messenger (disable)                                    

　　* Netlogon (disable)                                      

　　* Network DDE (disable)                                

　　* Network DDE DSDM (disable)                                           

　　* Plug and Play (disable after all hardware configuration)           

　　* Remote Procedure Call (RPC) locater (disable)

　　* Schedule (disable)                                      

　　* Server (disable)                                          

　　* Simple Services (disable)                        

　　* Spooler (disable)                                        

　　* TCP/IP Netbios Helper (disable)              

3．保护文件和目录                                                            

　　将C:\winnt, C:\winnt\config, C:\限做限制，限制everyone的写权限，限制winnt\system32, C:\winnt\system等目录的访问权，users组的读写权限。

　　4．注册表一些条目的安全修改                                                                                              

　　1） 隐藏上次登陆的用户名                                                    

　　将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中

　　DontDisplayLastUserName REG_SZ 值设为1        

　　2）限制LSA匿名访问                                                        

将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中                

RestricAnonymous REG_DWORD 值设为1                

　　3） 去除所有网络共享                                                        

将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中

AutoShareServer REG_DWORD 值设为0   

5. 移动部分重要文件并加访问控制：                                          

　　创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录

xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,

at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe,

ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,

　　edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe

　　6. 使用Hisecweb.inf安全模板来配置                          

　       该模板配置基本的 Windows 2000 系统安全策略将该模板复制到 %windir%\security

 \templates 目录。

　　打开“安全模板”工具，查看这些设置。                                         

　　打开“安全配置和分析”工具，然后装载该模板。                                 

　　右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。   

　　等候操作完成。                                                               

　　查看结果，如有必要就更新该模板。                                             

右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。  

7.安全日志的设置：“审核策略更改”的9个项目，在“成功、失败”的选框上进行选择。

8. 禁止 Windows tftp 客户端的使用:

使用文本编辑工具打开%systemroot%\system32\drivers\etc下的service文件找到对应的tftp那一行,   将 69/udp 替换成 0/udp。保存退出.